问确保将来可以解密加密的文件

EN

我想说，假设以下情况，很难确定您的用法：

1. 解决方案需要被那些不懂技术的人使用。
2. 解决方案需要保持USB和文件的整体安全
3. 解决方案需要成为未来的证据。

我保证使用驱动器加密技术(如BitLocker )加密整个驱动器本身，而不是加密单个文件(步骤1和2)。这将很好地发挥视窗(步骤3)，并在偶然的机会，你不懂技术的个人选择Linux，你可以使用应用程序，如储物柜。对于你的人，他们只需要插入设备，点击USB图标，并输入密码‘打开’USB。

此时，保存恢复密钥，以防出问题(步骤5)，并在将来某一天到来时向他们发送USB驱动器的密码(步骤4)。

就我个人而言，我会使用一种加密方法的AES-256比特储物柜，因为这是好的，未来的打样。关于BitLocker常见问题这里的更多信息。

您没有提到要加密的文件/S的大小，但是对于几十兆字节范围的文件，我建议使用KeepassXC，这是在所有主要平台上支持的开源实现。还有一个兼容的安卓选项叫做KeepassDX。这个工具在过去的几年里一直在发展，并且有一个活跃的社区，所以很可能在你的时间线上仍然是最新的。

创建和/或解锁数据库后，可以添加任意类型的多个条目，也可以将任何文件附加到这些条目中。

你的朋友将需要在他们的操作系统上安装软件--将软件包含在文件中的缺点是这将(很可能)鼓励使用过时的版本--好处是该软件(很可能)可以在不需要互联网连接的情况下下载。

的腐败风险和多拷贝

值得注意的是，由于加密协议的性质，只有一个损坏的位会使文件不可用。这就是为什么您需要多个副本，希望避免数据的完全丢失。

(讨论usb或某些容器文件的卷加密的其他答案，例如。bitlocker或veracrypt也可以通过存储源文件/S的多个副本来解决这一特殊问题，但是可以查看头备份！)

使用此解决方案，我建议将kdbx数据库文件的多个冗余副本放置到一个或多个usb/ hdd/光学/云/任何目录中(尽可能多，但至少三个)。kdbx的每个副本都将保留包括头在内的所有内容的冗余副本。

数据库设置

您应该选择kdbx 4，因为此版本支持带有“硬度”因子(argon2d)的强密钥派生密码。这一点之所以重要，是因为文件必须在较长的时间内保持安全，并且在这段时间内可能需要进行彻底的密码搜索。

强密码

来自Keepass网站( KeepassXC分叉的产品)的这个资源给出了一些关于第一次创建数据库时的安全设置选择的建议：https://keepass.info/help/base/security.html#secdictprotect

我建议使用该工具的密码生成器生成一些随机密码，让您可以在多字密码或复杂密码之间进行选择。(该软件随此内置，只需单击任何密码字段右侧的“软骰子”图标。)

无论在创建数据库时如何努力地进行密钥派生设置，在2022年，您的目标应该是至少80位密码强度(相当于一个7字的密码短语，或来自0-9 + 阿-兹 +“logogram”和“数学符号”组的15个字符)。

密码的

选择

在kdbx创建时提出的所有三个密码选项都是有效的选择。取决于您的cpu，默认的aes256可能是硬件加速的。双重选项为您提供了一个软件选择(没有硬件加速)，这可能是可取的。(这两个都是块密码。)同时，如果您需要在使用arm芯片的设备上打开db，则chacha20是一个很好的选择。手机，作为其目标之一，是在低能耗硬件上实现的.(我通常选择后者就是出于这个原因。)

在任何情况下，最长的等待将是密码kdf，这应该需要一两秒钟-而加密本身将需要几秒钟的比较！